Dr. Michael Rath, Partner bei der Rechtsanwaltskanzlei Luther, über die Erschließung von Wettbewerbsvorteilen durch das effektive Management von IT- und Datenschutzrecht.
1. Herr Dr. Rath. Sie haben sich als Jurist auf IT-Recht spezialisiert und sind seit langer Zeit ein geschätzter Fachmann auf diesem Gebiet. Was war für Sie der Auslöser diesen Weg zu beschreiten?
Ich bin schon seit 1999 auf das IT- und Datenschutzrecht spezialisiert. Bereits im Studium war ich als wissenschaftlicher Assistent am Lehrstuhl für Rechtsinformatik bei Prof. Dr. Herberger in Saarbrücken tätig. Meine Promotion habe ich über das Recht der Internet-Suchmaschinen verfasst. Die Kombination von Technik und Recht hat mich von Anfang an fasziniert. Ich muss zugeben, dass ich zu Hause auch einen kleinen Server betreibe und mich in den großen IT-Projekten, in denen wir beraten, auch gerne in die technischen Aspekte einbringe.
2. Die Aufrechterhaltung der Informationssicherheit wird für Unternehmen zunehmend komplexer, da gleichzeitig der Einsatz neuer Technologien mit verbundenen Bedrohungsszenarien und steigende gesetzliche Anforderungen miteinander in Einklang gebracht werden müssen. Deswegen haben wir uns entschieden, unseren Kunden Beratung Ihres Juristenteams und unserer Management- und sicherheitserfahrenen Berater aus einer Hand anzubieten. Was sind für Sie in diesem Zusammenhang die Beratungsfelder, welche von der Synergie beider Kompetenzen für die Kunden Vorteile bringen?
Die gesetzlichen Anforderungen an die IT ändern sich ebenso schnell wie die zu Grunde liegende Technik. Denken Sie nur an das neue IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung. Daneben gibt es eine umfangreiche Rechtsprechung zu Themen wie etwa der privaten Nutzung der IT am Arbeitsplatz. Angesichts dieser Regelungsdichte wird es für Unternehmen immer schwieriger, einen Überblick über die regulatorischen Anforderungen an die IT zu behalten. Oft sprechen IT-Fachleute und Juristen auch eine gänzlich andere Sprache. Hier gilt es, einen integrierten Beratungsansatz zu verfolgen und beispielsweise bei den Bemühungen um eine bessere IT-Sicherheit auch die Anforderungen der Juristen, der Techniker und der Datenschützer in Einklang zu bringen.
3. Informationssicherheit und IT-Recht sind für viele Unternehmen – insbesondere die KMU – gerade mit Blick auf die eingegangen Risiken ein häufig stark unterschätztes Feld. Was sind aus Ihrer Sicht die passenden Ansätze, um ein angemessenes Sicherheitsniveau und Rechtsverbindlichkeit herzustellen?
Hierfür gibt es ja eine Reihe von Frameworks, an denen sich Unternehmen orientieren können. Natürlich ist ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 der beste Weg, den ein Unternehmen beschreiten kann. Es gibt aber auch für den Mittelstand gute Orientierungshilfen. Für das generelle Management von Informationssicherheit gilt es, sich an den ISO- und COBIT-Standards zu orientieren. Den KMUs sei hierzu auch ein „ISMS-light-Ansatz“ empfohlen (etwa der „VdS 3473″ – VdS-zertifizierte Cyber-Sicherheit), welcher in der Regel eine Vorstufe für eine mögliche ISO/IEC 27001- und BSI IT-Grundschutz-Zertifizierung darstellt.
4. Welche weiteren Gesetze und Richtlinien sind generell im Entstehen begriffen, auf die sich Unternehmen werden einstellen müssen?
Allein durch die neue EU-Datenschutzgrundverordnung werden sich eine ganze Reihe von Gesetzen in Deutschland ändern. Da die Verordnung jedoch einige grundlegende Änderungen mit sich bringen wird, wie etwa das “Right To Be Forgotten” oder das Recht auf Datenportabilität, müssen die bisherigen nationalen Regelungen bis zur Geltung der Verordnung angepasst werden. Auch die Gesetze rund um die Terrorbekämpfung ändern sich ständig etwa im Bereich Vorratsdatenspeicherung oder Legal Interception. Zudem hat das EU-Parlament erst kürzlich die neue Richtlinie zur erhöhten Cybersicherheit (sog. NIS-Richtlinie) verabschiedet.
Diese EU-Richtlinie erweitert die Verantwortlichkeit von Betreibern kritischer Infrastrukturen. Auch große Online-Dienstleister wie etwa die Betreiber von Verkehrsknoten, Domain-Registrierungsstellen oder Online-Marktplätze wie etwa eBay oder Amazon sollen nun von den Security- und Meldepflichten erfasst werden. Auch Suchmaschinen wie Google und Cloud-Anbieter sind von der Richtlinie betroffen. Die EU-Richtlinie muss in den nächsten zwei Jahren allerdings erst in nationales Recht umgesetzt werden.
5. Der Anforderungen an den Datenschutz verschärfen sich weiter. Welche grundlegenden Änderungen kommen diesbezüglich auf die Mandanten zu?
Wenn die spezifische Art der Verwendung von Daten (etwa bei Cloud Services) ein potentiell hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aufweisen, ist es künftig zwingend vorgeschrieben, eine sog. Datenschutz-Folgenabschätzung vorzunehmen, im Hinblick auf die Eintrittswahrscheinlichkeit dieser Risiken. Dabei sollen auch Maßnahmen überprüft werden, die der Risikominimierung dienen. Der Umfang dieser Prüfpflichten geht deutlich über die bisherigen gesetzlichen Regelungen des BDSG hinaus. Gerade im Hinblick auf die Dokumentationspflichten und den drastisch erhöhten Bußgeldrahmen der Verordnung sollten verantwortliche Stellen diese Verpflichtung ernst nehmen. Denn nicht nur die Höhe der verhängbaren Bußgelder auf 10/20 Mio. € bzw. 2/4% des weltweiten Konzernjahresumsatzes ist gestiegen, auch ersetzbaren Schadenspositionen sind erweitert worden. Nach der Verordnung können auch immaterielle Schäden, also Schäden die nicht unmittelbar in Geld bemessen werden können, ersetzt werden. Dies war bisher in Deutschland nur sehr restriktiv gewährt worden.